\section{局限性}\label{sec:limit}

SCP只有在节点选用了足够多的{\quorum}切片的情况下能够保证安全性。	第\ref{sec:fba_eg_disscuss}讨论了为何我们能够合理地寄希望于它们可以做到。然而，当安全依赖于用户可配置的参数时，总存在人们把它们设置错了的可能。

甚至当人们正确设置了{\quorum}切片且SCP确保了安全性(safety)，安全性本身并未剔除可能在联邦系统中的其它安全(security)问题。例如，在一个金融市场上，被广泛信任的节点可能会改变它们在网络中的角色来获取一些信息，这些信息可能会被用于超前交易或者其它不道德的行为。

拜占庭节点可能会在SCP的输入端尝试过滤一些交易而另一方面产生正确的输出。如果良性行为的节点接受所有的交易，结合函数取所有交易的并；而由于存在完好节点，那么这种过滤将不会成功地让受害者交易以概率1被阻塞而可能表现出延迟。

尽管SCP的安全性是最优的，然而它的性能和通信延迟却不是。通常情况下节点之前没有投票提交和当前表决相互冲突的表决，这时减少一轮通信是可能的。早期的某个SCP版本是这样做的，但是协议的描述更为复杂。首先，它要求节点缓存并转发由之前失败的节点发送的签名消息。其次，它不能够掩盖在\textsl{PREPARE}消息中投票和\textit{终止}陈述确认的差别。因此，节点不得不发送一个潜在的无上限的列表给它们的\textit{终止}节点。

不幸的是，如果一个良性行为节点$v$经历过了一个完全恶意的串通好的{\vblock}集合，改变{\slot}中切片来适应错误节点对存活性来说是有问题的。好消息是定理\ref{thm:reconf_consistent}保证了即使任何有除$\mybm{V}\backslash S${\quorum}可交性的$S$包含被污染的成员，其安全性也是可以保障的。坏消息是如果$v$被戏弄来投票赞成一个坏的\textit{提交}消息，更新$\mybm{Q}$以解除$v$的阻塞可能是不够的。在这种情形下$v$需要否认过去的投票，而它只能以新的节点$v^{\prime}\neq v$的身份重新加入系统。可能存在一种自动化这种恢复的方法，例如让其它的节点可以辨认出被重命名的节点并自动将切片中的$v$替换成$v^{\prime}$。

FBA模型要求参与者对时间的连续性。一旦所有的节点同时长期地离开，重启共识将需要中心化的合作以及人工层次的协商。相反地，一个类似比特币的工作量证明系统有可能经受住完全的颠覆但几乎不要人工干预就能继续执行。另一方面，如果节点确实回来了，FBAS系统可以从任意长的断供期中恢复过来，然而工作量证明系统将可能面临攻击者在断供期在一个分叉上工作的可能性。

一个令人着迷的可能性是通过对改变配置参数投票或者升级应用协议来权衡SCP的调节斗争(tussle)~\cite{Clark:2005:TCD:1074047.1074049}的方式。一种实现方式是提名更新参数的特殊消息。候选值可以是一个值集合，也可以是一个参数更新集合。这一做法的一大局限性是：一个大小可以否定系统的一个{\quorum}但是不可以破坏安全性的恶意节点集合可能导致随意的配置更改(通过撒谎并将从未被批准的配置改变放到$Y$中)。如何以一种要求全体{\quorum}同意但是不危及存活性的方式对参数更改进行投票仍然是一个有待解决的问题。